Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Randon je Virus-Worm distribuovaný prostřednictvím IRC kanálů a LAN se sdílenými zdroji.

Při spuštění tohoto červa instaluje své součásti do podadresáře zxz a / nebo zx v adresáři systému Windows a zaregistruje hlavní soubor a klient mIRC v klíči automatického spuštění registru systému Windows (níže):

HKLM SoftwareMicrosoftWindowsCurrentVersionRunupdateWins

Randon potom provede výše uvedený klíč a skryje proces pomocí nástroje HideWIndows . Randon se připojí k serveru IRC a spustí jeho skripty. Kromě útoků DDoS a zaplavení IRC kanálů prověřuje Randon port 445 dalších IRC klientů.

Rozdělení
Po rozpoznání otevřeného portu (445) spustí červa dárkové soubory sencs.bat a incs.bat, které se pokoušejí vyhledat vzdálená data na otevřených prostředích a připojit se k nim pomocí jedné z následujících hesel:

"admin", "administrátor", "root", "admin", "test", "test123", "temp", 
"temp123", "pass", "heslo", "changeme"

Pokud je spojení úspěšné, červa otevře zásuvku na portu 445, přenese trojský kůň TrojanDownloader.WIn32.APher.gen a spustí jej. Tento trojský kůň stahuje samorozbalovací archiv "plné" verze červu z "www.q8kiss.net" a nainstaluje jej do systému.

Dodatečné informace
Randonový červ se skládá z následujících složek:

Nástroj Deta.exe – HideWindows (soubor WIn32 exe)
fControl.a – skript IRC (skenování portů a vzdálené počítače infekce)
IfCOntrol.a – IRC skript (IRC kanály a DDoS útoky (ping různé adresy))
incs.bat – soubor BATCH (zdrojový kód pro lidské zdroje)
Libparse.exe je nástroj "PrcView" (soubor EXE Win32)
psexec.exe je nástroj "PsExec" (soubor EXE Win32)
rcfg.ini – soubor IRC INI (načítání dalších skriptů)
rconnect.conf – konfigurační soubor
reader.w – seznam přezdívek používaných červem k vytvoření spojení s IRC kanály
Sa.exe – TrojanDOwnloader.Win32.Apher
scontrol.a – pomocný IRC skript.
sencs.bat – soubor BAT (tento soubor je převeden na vzdálený počítač a provádí spouštění TrojanDownloader)
systrey.exe – přejmenovaný klient mIRC (soubor Wind32 EXE).

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Net-Worm
Platfoma	Win32
Popis	Technické údaje Randon je Virus-Worm distribuovaný prostřednictvím IRC kanálů a LAN se sdílenými zdroji. Při spuštění tohoto červa instaluje své součásti do podadresáře zxz a / nebo zx v adresáři systému Windows a zaregistruje hlavní soubor a klient mIRC v klíči automatického spuštění registru systému Windows (níže): HKLM SoftwareMicrosoftWindowsCurrentVersionRunupdateWins Randon potom provede výše uvedený klíč a skryje proces pomocí nástroje HideWIndows . Randon se připojí k serveru IRC a spustí jeho skripty. Kromě útoků DDoS a zaplavení IRC kanálů prověřuje Randon port 445 dalších IRC klientů. Rozdělení Po rozpoznání otevřeného portu (445) spustí červa dárkové soubory sencs.bat a incs.bat, které se pokoušejí vyhledat vzdálená data na otevřených prostředích a připojit se k nim pomocí jedné z následujících hesel: "admin", "administrátor", "root", "admin", "test", "test123", "temp", "temp123", "pass", "heslo", "changeme" Pokud je spojení úspěšné, červa otevře zásuvku na portu 445, přenese trojský kůň TrojanDownloader.WIn32.APher.gen a spustí jej. Tento trojský kůň stahuje samorozbalovací archiv "plné" verze červu z "www.q8kiss.net" a nainstaluje jej do systému. Dodatečné informace Randonový červ se skládá z následujících složek: Nástroj Deta.exe – HideWindows (soubor WIn32 exe) fControl.a – skript IRC (skenování portů a vzdálené počítače infekce) IfCOntrol.a – IRC skript (IRC kanály a DDoS útoky (ping různé adresy)) incs.bat – soubor BATCH (zdrojový kód pro lidské zdroje) Libparse.exe je nástroj "PrcView" (soubor EXE Win32) psexec.exe je nástroj "PsExec" (soubor EXE Win32) rcfg.ini – soubor IRC INI (načítání dalších skriptů) rconnect.conf – konfigurační soubor reader.w – seznam přezdívek používaných červem k vytvoření spojení s IRC kanály Sa.exe – TrojanDOwnloader.Win32.Apher scontrol.a – pomocný IRC skript. sencs.bat – soubor BAT (tento soubor je převeden na vzdálený počítač a provádí spouštění TrojanDownloader) systrey.exe – přejmenovaný klient mIRC (soubor Wind32 EXE).
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Net-Worm.Win32.Randon

Technické údaje